Tema 4. Gestión de Usuarios Msc. Rina Arauz

Índice 1. Introducción 2. Usuarios 3. Grupos 2.1.  Añadir un nuevo usuario al sistema 2.2.  Fichero /etc/passwd 2.3.  Contraseñas 2.4.  Shadow passwords 2.5.  Restricciones de tiempo 2.6.  Ficheros de inicialización 2.7.  Asignar o cambiar de intérprete de órdenes 2.8.  Cuentas restrictivas 2.9.  Herramientas para crear/modificar cuentas de usuario 3.  Grupos 4.  Usuarios y grupos estándar

1. Introducción * Definición de usuario o user *   Persona que trabaja en el sistema (edita ficheros, ejecuta programas, etc.) *   Pseudo-usuario: entidad que puede ejecutar programas o poseer ficheros (normalmente tienen identificadores desde 0 hasta 500 (no incluido) *   Características de un usuario: *   Nombre de usuario, (también conocido como logname o username) *   Identificador de usuario (UID) => internamente el sistema identifica al usuario por su UID, y no por su nombre *   Grupos a los que pertenece (GID’s) *   Ficheros de configuración: *   /etc/passwd => Información de las cuentas de usuarios *   /etc/shadow => Password encriptados e información de «envejecimiento» de las cuentas *   /etc/group => Definición de los grupos y usuarios miembros

2. Usuarios Añadir un nuevo usuario al sistema * Pasos a realizar (herramientas específicas hacen automáticamente del 1 al 7): 1.   Decidir el nombre de usuario, el UID, y los grupos a los que va a pertenecer (grupo primario y grupos secundarios) 2.   Introducir los datos en los ficheros /etc/passwd y /etc/group (poniendo como contraseña “*” para bloquear la cuenta y que no se pueda usar) 3.  Asignar un password a la nueva cuenta 4.   Si las shadow están activas, «reactivarlas» 5.   Establecer los parámetros de «envejecimiento» de la cuenta 6.   Crear el directorio «home» del nuevo usuario, establecer el propietario y grupo correspondiente y los permisos adecuados 7.   Copiar los ficheros de inicialización (. bash_profile, . bashrc,...) 8. Establecer otras facilidades: quotas, mail, permisos para imprimir, etc. 9. Ejecutar cualquier tarea de inicialización propia del sistema 10. Probar la nueva cuenta

Los ficheros del directorio /etc generalmente proporcionan las configuraciones globales. Si en tu directorio personal existe un fichero equivalente, este puede prevalecer sobre las configuraciones globales. /etc/profile : establece ciertas funciones auxiliares y algunos parámetros básicos. Variables de entorno del sistema y programas de inicio. /etc/bashrc: Alias del sistema y funciones. ~/.bash_profile : Variables de entorno personales y programas de inicio. ~/.bashrc: Alias personales y funciones.

2. Usuarios Fichero /etc/passwd *   Contiene la lista de usuarios definidos en el sistema *   Formato: nombre:password:uid:gid:gecos:home:shell nombre => Nombre del usuario, logname o username password => contraseña cifrada o: «*» o «!!» => la cuenta está desactivada o bloqueada «x» => las shadow están activas, la contraseña cifrada se guarda en /etc/shadow uid => identificador del usuario gid => identificador del grupo primario al que pertenece gecos => campo de información referente al usuario (nombre, teléfono,...) home => Path del directorio «home» del usuario shell => Intérprete de órdenes que se ejecutará al entrar al sistema *   El usuario propietario es el root y el grupo root *   ¡OJO! Sus permisos son rw_r__r__ *   /usr/sbin/vipw => Para editar el fichero manualmente *   pwck => verifica la integridad de /etc/passwd y /etc/shadow

2. Usuarios Contraseñas *  passwd <nombre_usuario> => asignar contraseña a un usuario (o cambiarla) *  A la hora de elegir una buena contraseña: *   No utilizar: *    Tu nombre o parte de él, o de alguien cercano a ti *    No’s significativos para ti o alguien cercano a ti *    Algún nombre, N°, lugar, gente, etc., asociado a tu trabajo *    Palabra que esté en un diccionario (español, inglés, etc.) *    Nombre de gente famosa, lugares, películas, relacionadas con publicidad, etc. *   Consejos:  Introducir 2 o más caracteres extras, símbolos especiales o de control  Escribir mal las palabras  Utilizar mayúsculas y minúsculas, pero no de forma evidente  Concatenar, embeber o mezclar 2 o más palabras, o partes de palabras Usar caracteres poco comunes, como por ejemplo $,&,#,ˆ

2.3 Contraseñas * La contraseña se debe cambiar cuando: *   Se sospecha que alguien la ha podido conocer o averiguar *   Un usuario se marcha del trabajo => cambiar todas las que conozca *   Un administrador del sistema se va, cambiar TODAS *   Se despide a un usuario o a un administrador *   Se sospecha que alguien ha conseguido el fichero con las contraseñas (tanto /etc/passwd como /etc/shadow) *   Un intruso ha conseguido entrar en el sistema *   Periódicamente, se debe forzar a que los usuarios cambien sus contraseñas, incluido el administrador *   Por otro lado, si se obliga a los usuarios a cambiar su contraseña con mucha frecuencia, lo normal es que elijan malas contraseñas, fáciles de adivinar *   El administrador debe cambiar su password periódicamente

2. Usuarios Shadow passwords *   Permiten que las contraseñas encriptadas no se guarden en el fichero /etc/passwd sino en /etc/shadow (que es más seguro) *   /etc/shadow tiene los permisos r________, el usuario propietario es el root y el grupo propietario el root *   Este fichero guarda para cada una de las cuentas del sistema, la contraseña encriptada junto con su información de envejecimiento *   En el campo «password» del fichero /etc/passwd aparecerá una «x» (indicando que las “shadow” están activas) *   Por defecto, están activas y se actualizan automáticamente *   nom:pass:changed:minlife:maxlife:warn:inactive:expired:unused *    nom => nombre del usuario, logname o username *    pass => contraseña encriptada *    pwconv => crear y actualizar el fichero /etc/shadow *    pwunconv => desactivar los shadow passwords

2. Usuarios Restricciones de tiempo *   Para las cuentas de los usuarios se pueden establecer restricciones de tiempo o envejecimiento respecto a la validez de la cuenta o de la contraseña *   Los valores se guardan en el fichero /etc/shadow: *   changed => fecha del último cambio de contraseña *   minlife => n° de días que han de pasar para poder cambiar la contraseña *   maxlife => n° de días máximo que puede estar con la misma contraseña sin cambiarla *   warn => cuántos días antes de que la contraseña expire (maxlife) será informado sobre ello, indicándole que tiene que cambiarla *   inactive => n° de días después de que la contraseña expire que la cuenta se deshabilitará de forma automática si no ha sido cambiada *   expired => fecha en la que la cuenta expira y se deshabilita de forma automática

2.5 Restricciones de tiempo *   Los valores los establece el administrador con las órdenes chage o con passwd *   El fichero /etc/login.defs tiene los valores por defecto *   El uso de la orden chage chage -d uit_día usuario => fecha del último cambio de password chage -m min_días usuario => n° de días que han de pasar para poder cambiar la contraseña chage -M max_días usuario => n° de días máximo que puede estar con la misma contraseña sin cambiarla chage -W warn_días usuario => cuántos días antes de que la contraseña expire (maxlife) será avisado de ello, indicándole que tiene que cambiarla chage -I ínac_días usuario => n° de días después de que la contraseña expire que la cuenta se deshabilitará de forma automática si la contraseña no ha sido cambiada chage -E exp_días usuario => fecha en la que la cuenta expira y se deshabilita de forma automática

2.5 Restricciones de tiempo *   Supongamos que el usuario pilar cambia su contraseña el 1 de marzo, y el administrador ejecuta las siguientes órdenes: chage -M 20 pilar chage -W 6 pilar chage -I 5 pilar chage -E 2010-10-30 pilar *   Los tiempos quedan fijados de la siguiente manera: *   El 14 de marzo pilar recibirá el primer aviso para que cambie su contraseña. *   El 20 de marzo pilar debería haber cambiado su contraseña. Si no cambia la contraseña, como se ha fijado el tiempo de inactividad, la cuenta aún no se bloqueará *   Si el 25 de marzo pilar no ha cambiado su contraseña, la cuenta será bloqueada. *   La cuenta expira, y por tanto se bloqueará, el 30 de octubre.

2. Usuarios Ficheros de inicialización *   En el directorio /etc/skel se guardan unos ficheros «personalizados» que se copian cuando se crea una cuenta al directorio HOME asignado *   Posteriormente, cada usuario podrá personalizar los suyos (están en su $HOME) *   Los ficheros de inicialización son guiones shell que realizan determinadas tareas como inicializar variables, ejecutar funciones específicas, establecer los alias, etc. *   Estos ficheros dependen del intérprete de órdenes seleccionado: Se ejecuta al hacer un login (PATH, .bash_profile en Bourne Again Shell (bash) variables de entorno, umask, .profile en Bourne Shell (sh) funciones de inicialización, etc.) .login en C Shell (csh) Cada vez que se ejecuta un shell .bashrc en Bourne Again Shell (bash) (alias, var. del propio shell, etc.) .cshrc en C Shell (csh) Al salir del sistema el usuario .bash_logout en Bourne Again Shell (bash) (al finalizar la sesión) .logout en C Shell (csh)

2. Usuarios Asignar o cambiar de intérprete de órdenes *   En el último campo del fichero /etc/passwd se establece el intérprete de órdenes que se ejecuta al entrar al sistema *   En el fichero /etc/shells se indican los shells permitidos (¡Ojo! Si se prohibe un shell, no se podrá elegir con chsh, pero los usuarios que ya lo tenían asignado lo seguirán usando sin problemas) *   Con la orden chsh el usuario puede cambiar su shell, (el nuevo ha de estar entre los permitidos) *   Si un usuario no tiene asignado ningún intérprete de órdenes, se usará el shell por defecto /bin/sh *   Si se desea que el usuario no pueda entrar al sistema se le puede asignar /bin/false o /sbin/nologin *   También se puede establecer como shell un fichero ejecutable => cuando el usuario entre al sistema se ejecuta, y, al finalizar la ejecución, el usuario sale del sistema (no llega a hacer un login realmente)

2. Usuarios Cuentas restrictivas *   Estas cuentas permiten limitar las acciones de los usuarios en el sistema, haciendo que tengan determinadas restricciones *   Se pueden crear de dos formas: Asignando como shell un fichero ejecutable que realiza una tarea determinada y al terminarla el usuario sale del sistema: Usuario para realizar las copias de seguridad => como shell tiene un ejecutable (guión shell) para esta tarea Uno para que apague el sistema, y que ejecutará la orden shutdown *   Los usuarios restrictivos de este tipo tienen que tener los permisos necesarios para poder hacer la tarea asignada. Estos permisos se asignan a nivel de identificador de usuario. (¿Qué usuario puede apagar el sistema?) *   Estos usuarios no llegan a "entrar" al sistema pues no ejecutan un shell del tipo /bin/bash

2. Usuarios Cuentas restrictivas * Se pueden crear: * Usando el shell restrictivo /bin/rbash *    rbash es un enlace simbólico a /bin/bash (por defecto no existe, hay que crearlo) *   Este intérprete se comporta como un intérprete normal, salvo que el usuario no puede hacer determinadas tareas, como: •   Cambiar de directorio •   Establecer o modificar los valores de SHELL o PATH •   Especificar nombre de órdenes que contengan / •   Usar la redirección •   Utilizar la orden interna exec para reemplazar el shell por otro programa *   /bin/rbash es equivalente a ejecutar/bin/bash -r A estos usuarios se tiene que limitar los ficheros que pueden ejecutar, copiándolos a un directorio y que su path sea sólo ese directorio. En otro caso, con un path “normal”, es casi como si no tuviesen restricciones

2. Usuarios Herramientas para crear/modificar cuentas de usuario *   Las herramientas automáticas para la creación de cuentas de usuario suelen realizar todas las tareas básicas del proceso, a excepción de las específicas (quotas o impresión, etc.) *   useradd ó adduser => crear cuentas de usuario, o modificar cuentas ya existentes. Toma los valores por defecto de /etc/default/useradd y de /etc/login.defs *   usermod => modificar cuentas * userdel => eliminar cuentas (por defecto no borra el directorio home) *   newusers => crea cuentas de usuarios utilizando la información introducida en un fichero de texto, que ha de tener el formato del fichero /etc/passwd (¡OJO! No copia los ficheros de inicialización) *   system-config-users => herramienta en modo gráfico

3. Grupos *   Los grupos son «colecciones» de usuarios que comparten recursos o ficheros del sistema *   Con los grupos se pueden garantizar permisos concretos para un conjunto de usuarios, sin tener que repetirlos cada vez que se desee aplicarlos *   Características de un grupo Nombre del grupo, o groupname Identificador del grupo (GID) => internamente el sistema identifica al grupo por este número *   El fichero de configuración es /etc/group, con el formato: nombre:x:gid:lista de usuarios nombre => nombre del grupo gid => identificador del grupo lista de usuarios que pertenecen al grupo, separados por «,» *   Pej., aso:x:519.pilar, alvarojuan, eduardo, aso01, aso02, aso03

3. Grupos *   /etc/gshadow *    Contiene la información de seguridad de los grupos: grupo, contraseña, y miembros *    Idea parecida al /etc/shadow *    Si un usuario sabe la contraseña de un grupo, puede usarlo sin pertenecer a él *   Tipos de grupos: *   Primario => el grupo especificado en el fichero /etc/passwd *   Secundarios => los otros grupos a los que pertenece, que son los indicados en /etc/group *   Cómo actúan los grupos: *   Al crear un fichero se establece como grupo propietario el grupo activo del usuario en ese momento *   Al determinar los permisos sobre un fichero, por ejemplo para leerlo o modificarlo, se usan todos los grupos a los que pertenece El grupo activo suele ser el primario, salvo que se haya cambiado con newgrp

3. Grupos * groupadd grupo => crear un nuevo grupo *   groupmod grupo => modificar un grupo existente *   groupdel grupo => eliminar un grupo *    newgrp grupo => cambiar de grupo activo (lanza un shell con ese grupo) *   gpasswd grupo => asignar una contraseña a un grupo *    Si un grupo tiene contraseña, un usuario que la conozca podrá trabajar con ese grupo, a pesar de no pertenecer él *   Al ejecutar la orden newgrp grupo introducirá la contraseña y pasará a ser su grupo activo *   gpasswd -a user grupo => añadir un usuario a un grupo *   groups [usuario] => grupos a los que pertenece un usuario *   id [usuario] => lista el identificador del usuario y los grupos a los que pertenece *   grpck => chequea la consistencia del fichero de grupos

4. Usuarios y grupos estándar Usuarios estándar *   root => Cuenta del administrador *   bin, daemon, Ip, sync, shutdown, etc. => Tradicionalmente usados para poseer ficheros o ejecutar servicios *   mail, news, ftp => Asociados con herramientas o facilidades *   postgres, mysql, xfs => Creadas por herramientas instaladas en el sistema para administrar y ejecutar sus servicios *   nobody o nfsnobody => Usada por NFS y otras utilidades Grupos estándar *   root, sys *   bin, daemon, adm, Ip, disk, mail, ftp, nobody, etc. *   kmem => Grupo propietario de los programas para leer la memoria del kernel *   users